受新冠狀病毒(COVID-19,俗稱武漢肺炎) 的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。
受 Covid-19 疫情的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。然而急就章的同時,卻也帶來了一些 IT 資安部門從未面對過的受攻擊面。雖然 IT 資安部門已經知道如何保護企業內 DevOps 團隊的應用程式開發與發布作業,甚至是將準備上線的服務和容器發布到雲端。但當整個應用程式建構流程都全部移轉至雲端時,資安團隊卻不一定了解相關的資安風險。
最近出現了一個新型的 Linux 惡意程式叫作「DOKI」,它會攻擊各主要雲端廠商對外公開的 Docker API。駭客使用一個之前發現的漏洞攻擊技巧來入侵容器環境,但有關 DOKI 惡意程式的文獻記載卻是直到最近出現。
要在容器主機上植入 DOKI 惡意程式,駭客會先掃描雲端廠商的網路是否有可公開存取的 Docker API,然後再經由此 API 的漏洞來駭入 Docker 環境。駭客一旦進入 Docker 環境,就會建立自己的容器,並刪除其活動的相關記錄檔。這項攻擊技巧的一個重點就是啟動裝有「curl」工具程式的 Alpine 映像。此映像並非惡意的容器映像,不過一旦裝了 curl 之後,駭客就能利用這個容器來從遠端進行各種惡意活動。由於駭客使用的是可公開取得的容器映像,所以一般的容器登錄掃描軟體都會將它判定為良性容器並允許它建構及發布。
但這只是攻擊的第一步驟,到這裡,駭客還不能在容器主機上執行惡意程式 (雖然這是最終目標)。為了能夠執行惡意程式,駭客必須跳脫容器,所以駭客會在發出「create」指令的API 請求時指定「bind」(綁定) 參數。然後將一個暫存目錄「/tmpxxxx」綁定於主機根目錄下,接著取得權限來執行主機上該目錄內的任何檔案。
此外,駭客還會利用 Ngrok 服務來產生獨一無二的臨時網址,用來下載惡意檔案至含有 curl 工具的映像當中 (也就是駭客先前建立的映像)。然後,駭客會利用主機的 cron 指令,每分鐘重複執行一次下載。我們觀察到的惡意程式絕大多數都是虛擬加密貨幣挖礦程式。而 Doki 就是近期發現的惡意程式之一。
Doki 有幾項非常特殊之處,最特別的是它會結合 DynDNS 與多吉幣 (Dogecoin) 的特殊網域產生演算法來即時產生幕後操縱 (C&C) 伺服器的網域。這是以前的惡意程式從未出現過的行為。駭客會使用多吉幣錢包轉帳作業來控制惡意程式所聯絡的網址。透過這樣的技巧,其攻擊幾乎完全不怕網站過濾服務或其他資安產品的攔截。此外,駭客利用多吉幣錢包轉帳作業來指定網址,也是一項重大進展。
不過,儘管這項攻擊非常獨特,但偵測此類攻擊的方法依然和往常一樣。採用多層式防護方法,涵蓋所有資料移動或產生的管道,就是確保環境安全的最佳方法。Trend Micro Cloud One 平台是專為雲端開發人員設計,能夠防範駭客攻擊 (如 Doki 惡意程式) 的所有入侵點。Doki 惡意程式的入侵點是 Docker API,而絕大多數企業都會防範這個入侵點來保護環境安全,但不幸的是,許多企業卻因預算拮据或不曉得有什麼可用產品而未能擴大防護範圍。Trend Micro Cloud One 套裝防護不僅能保護雲端環境,更能讓企業掌握整起攻擊事件的過程,了解歹徒的攻擊手法與時機。這需要執行時期防護與容器內防護,而這些防護卻是獨立於使用者裝置或雲端運算實體的資安防護之外。
針對本文討論的攻擊,趨勢科技 Cloud App Security™ 可擔任第一道防護來防止 Docker API 遭到攻擊。趨勢科技 Cloud One™ 內部負責控管的資安程式碼能協助偵測任何 Docker API 層次的入侵行為。接下來,Cloud One 提供了 趨勢科技 Cloud One™ – Container Security 來提供第二道防護。這道防護可偵測 CI/CD 流程所產生的外來容器,防止這類容器被發布到線上環境。最後,還有 Cloud One Workload Security 能夠偵測容器主機上執行的漏洞攻擊。就算駭客躲過了前兩道防護,還有 Workload Security 可偵測主機上的異常狀況,從惡意程式到主機上啟動的異常服務。
趨勢科技 Cloud One™ 平台提供了專門防範雲端基礎架構威脅的雲端防護服務。Cloud One 能保護您的雲端工作負載、容器、雲端應用程式、檔案儲存,確保您符合雲端最佳實務原則,還有雲端原生網路檢查。每一種防護都涵蓋了不同的雲端攻擊面,背後更有趨勢科技世界級的威脅研究與威脅情報作後盾。不僅如此,Cloud One 平台還能讓企業保護混合雲環境,從單一主控台同時確保企業內及雲端工作負載的安全。
雲端資安防護不僅要防範舊式威脅從新的攻擊面入侵,還要防範專為雲端原生應用程式設計的威脅,例如 Doki 惡意程式。不論面對何種威脅,也不論哪一個攻擊面,我們都能全方位掌握混合雲環境的所有層面,並開發適當的工具來同時滿足 IT 資安團隊與 DevOps 團隊的需求。
原文出處:Just leave that Docker API on the front porch, no one will steal it 作者:Brandon Wingard 與 Kyle McClafferty,2020 年